证券大盗

病毒名称 Trojan/PSW.Soufan

病毒中文名 证券大盗

病毒类型 特洛依木马

危险级别 ***

影响平台

感染对象

描述

2004年11月25日，江民反病毒中心截获Trojan/PSW.Soufan特洛依木马病毒。该木马可以盗 取多家证券交易系统的交易帐户和密码。

具体技术特征如下：

1.病毒运行后，将创建自身复本于：

%WinDir%SYSTEM32.EXE, （201216字节）

2.在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"System"=%WinDir%SYSTEM32.EXE

3.木马运行时寻找如下窗口标题：

南方证券网上交易

网上股票交易系统

华夏稳赢网上交易系统

国泰君安证券-富易

网上交易委托系统

用户登录 - 兴业证券

如果发现上述窗口就开始启动键盘钩子对用户登陆信息进行记录，包括用户名和密码。

4.在记录键盘信息的同时，通过屏幕快照将用户登陆时窗口画面保存为图片，存放于：

c:Screen1.bmp

c:Screen2.bmp

5.当记录指定次数后，将3，4中记录的信息和图片通过电子邮件发送到webmaster@shoufan.com。

6.发送成功后，病毒进行自杀，将自身删除，但4中生成的。bmp图片并未被删除。

另外，http://shoufa*.com（或http://www.shoufa*.com）网站包含恶意代码，会利用IE浏览器的“ADODB.Stream”漏洞、“Shell.Application”漏洞和“Object Data”漏洞自动下载并运行“证券大盗”木马病毒（Trojan/PSW.Soufan）。

具体技术分析如下：

网站主页http://shoufa*.com/index.htm包含恶意代码：

“”

其中，http://shoufa*.com/0_login.jpg并非图片文件，而是一个网页文本，它试图使用2种方法在用户计算机上种植木马：

方法1：弹出假广告窗口http://shoufa*.com/js.htm，

广告页面http://shoufa*.com/js.htm（TrojanDownloader/JS.Simulator.b）包含恶意代码，它调用另一个JScript恶意脚本http://shoufa*.com/js.js（TrojanDownloader.JS.Icyfox.c）。

http://shoufa*.com/js.js利用“Shell.Application”和“ADODB.Stream”文件下载漏洞，可以在用户不知情中自动下载运行“证券大盗”主程序http://shoufa*.com/run.exe。

方法2：利用“Object data”漏洞，运行http://shoufa*.com/shoufa*.asp。

http://shoufa*.com/shoufa*.asp（TrojanDropper.VBS.Chin）是恶意VBScript脚本，它在用户机器上释放一个木马下载程序TrojanDownloader.Rlay.b，这个木马下载程序会去下载并运行“证券大盗”http://shoufa*.com/run.exe，然后自删除。

注：文中所有的“shoufa*”皆为“shoufan”,为了避免读者在阅读时不小心点击该恶意站点的链接而导致不必要的损失，故做此修改。

解决方案

针对该病毒，江民公司已经紧急升级了病毒库。请您及时升级到11月25日病毒库，即可全面查杀该病毒。但由于“证券大盗”的自杀特征，所谓的“专杀工具”根本无法扫描到系统内存在病毒，也无法保护股民的股票账户安全，对付证券大盗病毒的最好办法是安装一款带有隐私保护功能的杀毒软件，并开启病毒实时监控，将“证券大盗”抵御于系统之外，开启隐私保护功能将股票帐号密码设为保护状态，防止病毒向外发送信息，彻底防范“证券大盗”病毒恶意操纵你的股票帐户。没有安装杀毒软件的用户，可以使用江民的免费在线查毒功能或使用江民杀毒软件KV2005下载版进行防御该病毒。详情查阅江民反病毒资讯网http://www.jiangmin.com,免费在线查毒：http://online.jiangmin.com